Header Navigation - FR
Background image for Que sont les attaques Pass-the-Hash (PtH) et Pass-the-Ticket (PtT) ?
Cybersecurity 101/Renseignements sur les menaces/Pass-the-Hash (PtH) et Pass-the-Ticket (PtT)

Que sont les attaques Pass-the-Hash (PtH) et Pass-the-Ticket (PtT) ?

Les attaques Pass-the-Hash et Pass-the-Ticket exploitent les protocoles d'authentification. Découvrez comment vous défendre contre ces techniques sophistiquées.

Auteur: SentinelOne

Les attaques Pass-the-Hash (PTH) et Pass-the-Ticket (PTT) sont des techniques utilisées pour exploiter les protocoles d'authentification. Ce guide explore le fonctionnement de ces attaques, leurs implications pour la sécurité et les stratégies de prévention.

Découvrez l'importance de sécuriser les identifiants et de surveiller les activités suspectes. Il est essentiel que les organisations comprennent les attaques PTH et PTT afin de protéger leurs systèmes.

Les organisations doivent mettre en œuvre des contrôles d'accès rigoureux, utiliser des outils avancés de détection et de surveillance des menaces, et mettre à jour régulièrement leurs protocoles de sécurité afin de contrecarrer ces tactiques dissimulées. Elles pourront ainsi mieux se défendre contre les menaces persistantes et évolutives que représentent les attaques PtH et PtT, et protéger leurs données sensibles et l'intégrité de leur réseau.

La différence entre Pass-the-Hash (PtH) et Pass-the-Ticket (PtT)

PtH et PtT sont deux techniques malveillantes utilisées en cybersécurité, mais elles diffèrent dans leur objectif et leur exécution tout en partageant des caractéristiques communes. PtH et PtT sont toutes deux utilisées dans :

  • les attaques d'authentification – PtH et PtT sont toutes deux des attaques basées sur l'authentification, qui ciblent les mécanismes utilisés pour vérifier l'identité des utilisateurs ou des systèmes dans un réseau.
  • Déplacement latéral – Ces deux types d'attaques permettent un mouvement latéral au sein d'un réseau. Une fois l'accès initial obtenu, les attaquants utilisent les identifiants volés (hachages ou tickets) pour se déplacer latéralement et accéder à d'autres systèmes ou ressources.
  • Évasion de détection – Les attaques PtH et PtT sont de nature furtive, car elles évitent souvent d'avoir à obtenir des mots de passe en clair, ce qui les rend plus difficiles à détecter.

Les attaques PtH et PtT diffèrent principalement sur les points suivants :

  • Cibles – PtH se concentre principalement sur le vol de mots de passe hachés à partir de systèmes compromis, tandis que PtT se concentre sur le vol et l'utilisation abusive de tickets d'authentification dans les environnements de domaine Windows.
  • Identifiants – Dans le PtH, les attaquants utilisent les hachages de mots de passe volés pour l'authentification, tandis que dans le PtT, ils abusent des tickets Kerberos générés pour l'authentification des utilisateurs ou des services.
  • Portée – Les attaques PtH ont une portée plus large, car elles peuvent cibler diverses plateformes et divers systèmes au-delà des domaines Windows. Les attaques PtT sont plus spécifiques aux environnements de domaine Windows.

Les techniques PtH et PtT sont toutes deux dangereuses pour les mouvements latéraux et l'escalade des privilèges dans les cyberattaques. Bien qu'elles aient pour objectif commun de compromettre l'authentification, PtH consiste à voler des hachages de mots de passe, tandis que PtT se concentre sur l'utilisation abusive des tickets d'authentification au sein des domaines Windows. Il est essentiel de comprendre les différences et les similitudes entre ces techniques pour mettre en place des défenses efficaces en matière de cybersécurité et réagir efficacement aux incidents.

Brève présentation des attaques Pass-the-Hash (PtH) et Pass-the-Ticket (PtT)

Les attaques PtH et PtT ont attiré l'attention dès les années 1990, lorsque les cybercriminels et les chercheurs en sécurité ont commencé à reconnaître les faiblesses inhérentes à la manière dont les systèmes d'exploitation Windows gèrent les informations d'authentification. Le PtH est apparu comme une technique permettant d'extraire les données de mots de passe hachés des systèmes compromis. Les attaquants pouvaient ensuite réutiliser ces valeurs hachées pour s'authentifier sur d'autres systèmes, contournant ainsi efficacement la nécessité d'utiliser des mots de passe en clair.

Le PtT, quant à lui, cible principalement les environnements Windows qui utilisent le protocole d'authentification Kerberos. Elle consiste à voler et à utiliser de manière abusive des tickets d'authentification, qui sont générés lors de l'authentification d'un utilisateur ou d'un service. Les pirates exploitent les failles du système de tickets Kerberos, ce qui leur permet d'usurper l'identité d'utilisateurs ou de services légitimes et d'obtenir un accès non autorisé aux systèmes et aux ressources.

Dans le paysage actuel de la cybersécurité, les attaques PtH et PtT restent des menaces puissantes. Les attaquants ont perfectionné ces techniques et les ont intégrées dans des campagnes de menaces persistantes avancées (APT) et des attaques par ransomware, exploitant souvent les vulnérabilités des réseaux.cybersecurity-101/ransomware/" target="_blank" rel="noopener noreferrer">ransomware, exploitant souvent les vulnérabilités de la sécurité réseau ou utilisant des tactiques d'ingénierie sociale pour obtenir un accès initial. Une fois à l'intérieur d'un réseau, ils utilisent les attaques PtH et PtT pour se déplacer latéralement, obtenir des privilèges supplémentaires et exfiltrer des données.

L'importance des attaques PtH et PtT est soulignée par leur capacité à contourner les mesures de sécurité traditionnelles et à échapper à la détection en exploitant les identifiants hachés et les tickets d'authentification. Pour se défendre contre ces attaques, il faut adopter une approche à plusieurs volets, comprenant des politiques de mots de passe forts, des mises à jour de sécurité régulières, des contrôles d'accès robustes et des systèmes avancés de détection des menaces.

Comprendre le fonctionnement des attaques Pass-the-Hash (PtH) et Pass-the-Ticket (PtT)

PtH et PtT sont des tactiques sophistiquées et malveillantes utilisées dans le domaine de la cybersécurité, en particulier dans les environnements Windows, qui facilitent l'accès non autorisé et l'escalade des privilèges. Ces techniques ont été initialement développées comme des méthodes secrètes pour compromettre les systèmes d'authentification Windows et sont depuis devenues des menaces persistantes dans le paysage de la cybersécurité.

Les attaques PtH et PtT sont des techniques utilisées par les pirates pour obtenir un accès non autorisé aux systèmes et aux ressources d'un réseau. Le protocole NTLM (NT LAN Manager) est souvent la cible de ces attaques en raison de ses vulnérabilités inhérentes. Voici une explication technique détaillée du fonctionnement de ces techniques :

Pass-the-Hash (PtH)

  • Vol initial d'identifiants – Les attaques PtH commencent généralement par l'obtention d'un accès initial à un système Windows par le pirate, souvent à l'aide de méthodes telles que hameçonnage, l'infection par des malwares ou l'exploitation de vulnérabilités logicielles. Une fois à l'intérieur du système, l'objectif de l'attaquant est de voler les données de mot de passe hachées stockées localement sur le système. Windows stocke les représentations hachées des mots de passe en mémoire afin de faciliter l'authentification sans révéler le mot de passe en clair.
  • Capture de hachage – Les attaquants utilisent divers outils et techniques pour extraire les données de mots de passe hachés de la mémoire du système. L'un des outils couramment utilisés est Mimikatz, qui permet de récupérer les identifiants des systèmes Windows.
  • Utilisation du hachage – Grâce au hachage du mot de passe capturé, l'attaquant n'a pas besoin de connaître le mot de passe en clair. Il utilise directement ce hachage pour tenter de s'authentifier.
  • Le pirate envoie le hachage volé au système cible auquel il souhaite accéder, en se faisant passer pour un utilisateur légitime. Le système cible hachage alors le mot de passe fourni par le pirate et le compare au hachage stocké pour l'authentification.
  • Accès obtenu – Si les hachages correspondent, l'attaquant obtient un accès non autorisé au système ou à la ressource cible, contournant ainsi efficacement la nécessité du mot de passe en clair de la victime.
  • Les attaquants utilisent souvent cet accès pour se déplacer latéralement au sein du réseau, augmenter leurs privilèges et accéder à des données sensibles.

Pass-the-Ticket (PtT)

  • Authentification Kerberos – Les attaques PtT ciblent principalement les environnements Windows qui utilisent le protocole d'authentification Kerberos. Kerberos est couramment utilisé dans les environnements Active Directory (AD) pour l'authentification unique et l'authentification sécurisée.
  • Création initiale du ticket – Lorsqu'un utilisateur se connecte à un système Windows, le processus d'authentification Kerberos génère un ticket d'accès (TGT) pour l'utilisateur, crypté à l'aide d'un secret à long terme (généralement le hachage du mot de passe de l'utilisateur) connu uniquement de l'utilisateur et du centre de distribution de clés (KDC).
  • Extraction du ticket – Dans une attaque PtT, l'attaquant cherche à capturer ce TGT à partir de la mémoire d'un système compromis auquel il a initialement accédé.
  • L'attaquant utilise des outils tels que Mimikatz pour extraire les TGT de la mémoire.
  • Utilisation des tickets – Une fois en possession du TGT volé, l'attaquant peut usurper l'identité de l'utilisateur légitime associé au TGT. L'attaquant présente le TGT au KDC lorsqu'il demande des tickets de service pour des ressources spécifiques.
  • Demande de ticket de service – Le KDC, qui fait confiance au TGT, émet des tickets de service pour les ressources demandées par l'attaquant. Ces tickets de service sont cryptés à l'aide d'une clé de session dérivée du TGT.
  • Accès aux ressources – Muni de tickets de service valides, l'attaquant peut accéder aux ressources et aux systèmes du réseau comme s'il était l'utilisateur légitime. Cela lui permet de se déplacer latéralement au sein du réseau et de compromettre potentiellement d'autres systèmes.

Les attaques PtH et PtT sont particulièrement préoccupantes, car elles permettent aux attaquants d'opérer sans connaître le mot de passe en clair de la victime. Pour atténuer ces attaques, il faut adopter une approche à plusieurs volets, comprenant des politiques de mots de passe forts, des mises à jour de sécurité régulières, des contrôles d'accès robustes et systèmes avancés de détection des menaces. En outre, les organisations doivent surveiller les signes de vol d'identifiants et les activités d'authentification inhabituelles afin de détecter et de répondre rapidement aux attaques PtH et PtT.

Pour se prémunir contre les risques associés aux attaques PtH et PtT, les entreprises mettent en œuvre plusieurs mesures :

  • Authentification forte – L'utilisation de l'authentification multifactorielle (MFA) et l'authentification à deux facteurs (2FA) ajoutent une couche de sécurité supplémentaire au-delà des mots de passe.
  • Accès avec privilèges minimaux – La restriction des droits d'accès et des privilèges des utilisateurs permet de limiter les dommages pouvant être causés par la compromission des identifiants.
  • Gestion des accès privilégiés (PAM) – Les solutions PAM permettent de gérer, surveiller et sécuriser les comptes et accès privilégiés et les accès privilégiés.
  • Segmentation du réseau – Isoler les systèmes critiques des systèmes moins critiques peut limiter les mouvements latéraux au sein d'un réseau.
  • Rotation régulière des identifiants – La mise en œuvre de politiques exigeant le changement régulier des mots de passe contribue à réduire les possibilités d'attaques PtH et PtT.
  • Formation à la sensibilisation à la sécurité – Il est essentiel de sensibiliser les employés aux risques liés aux attaques PtH et PtT et à l'importance d'une bonne hygiène en matière de mots de passe.
  • Systèmes de détection d'intrusion – L'utilisation de systèmes avancés de détection d'intrusion peut aider à détecter et à bloquer les tentatives de PtH et PtT.

Conclusion

Les attaques Pass-the-Hash (PtH) et Pass-the-Ticket (PtT) constituent des menaces persistantes dans le monde numérique actuel. Ces techniques, qui ciblent souvent des protocoles d'authentification tels que NTLM et Kerberos, soulignent la nature évolutive des cyberattaques et la nécessité d'une vigilance permanente.

Les attaques PtH et PtT exploitent les vulnérabilités des mécanismes d'authentification, permettant aux pirates de s'infiltrer clandestinement dans les réseaux, de se déplacer latéralement, d'élever leurs privilèges et d'obtenir un accès non autorisé à des systèmes et des données sensibles. Les conséquences peuvent être très graves, allant de la violation de données et des pertes financières à l'atteinte à la réputation.

Les attaques PtH et PtT rappellent de manière frappante que le paysage de la cybersécurité est un champ de bataille en constante évolution. Pour se protéger contre ces menaces, les particuliers et les organisations doivent rester vigilants, adopter des mesures de sécurité proactives et collaborer avec des experts en cybersécurité. Il n'est pas seulement important de garder une longueur d'avance sur les attaques PtH et PtT, c'est la clé pour protéger le monde numérique face à des adversaires implacables.

Améliorez votre veille sur les menaces

Découvrez comment WatchTower, le service de chasse aux menaces de SentinelOne, peut vous apporter de meilleures informations et vous aider à déjouer les attaques.

En savoir plus

FAQ Pass The Hash Vs Pass The Ticket

Une attaque Pass-The-Hash consiste pour un pirate à voler les identifiants hachés d'un utilisateur et à les utiliser pour s'authentifier sans avoir besoin du mot de passe réel. Il extrait les hachages de mot de passe de la mémoire système à l'aide d'outils tels que Mimikatz et les réutilise sur d'autres systèmes. Cette attaque exploite les protocoles d'authentification Windows tels que NTLM et fonctionne parce que le hachage reste statique jusqu'à ce que le mot de passe soit modifié.

Une attaque Pass-The-Ticket consiste à voler des tickets Kerberos, en particulier des tickets d'octroi de ticket (TGT) ou des tickets de service, afin d'usurper l'identité d'utilisateurs légitimes. Les attaquants extraient ces tickets de la mémoire et les injectent dans leurs propres sessions pour accéder aux ressources réseau. Cela permet de contourner l'authentification normale et d'effectuer des mouvements latéraux sans avoir besoin de mots de passe.

Les attaques Pass-the-hash volent et réutilisent les hachages de mots de passe NTLM, tandis que les attaques Pass-the-ticket volent et réutilisent les tickets Kerberos. PtH nécessite la capture d'identifiants hachés à partir de systèmes compromis, tandis que PtT utilise à la place des tickets de session valides.

Les attaques PtT sont plus furtives, car elles exploitent des tickets Kerberos légitimes plutôt que des hachages d'identifiants.

Les deux attaques commencent par une compromission initiale du système via du phishing ou un logiciel malveillant. Les attaquants utilisent ensuite des outils tels que Mimikatz pour extraire les hachages ou les tickets de la mémoire. Ils transmettent ces identifiants volés à d'autres systèmes pour authentification, ce qui leur permet de se déplacer latéralement à travers les réseaux. Les attaques exploitent les identifiants mis en cache dans les environnements SSO Windows.

Les organisations qui utilisent l'authentification Windows NTLM sont les plus vulnérables, en particulier celles qui ont mis en place un système SSO. Les systèmes sans authentification multifactorielle ou sans gestion des accès privilégiés sont exposés à des risques plus élevés. Tout environnement Windows stockant des identifiants hachés en mémoire peut être ciblé. Les télétravailleurs et les systèmes disposant de privilèges administratifs sont les cibles privilégiées.

Analysez les journaux d'événements Windows à la recherche de modèles d'authentification Kerberos inhabituels et de plusieurs utilisateurs provenant d'une seule adresse IP. Utilisez des outils de sécurité pour détecter toute utilisation anormale des tickets et mettez en place une segmentation du réseau.

Déployez des plateformes de détection des terminaux telles que SentinelOne et surveillez les outils tels que Mimikatz. Activez la journalisation complète des événements d'authentification et mettez en place une analyse comportementale.

Surveillez les journaux d'événements de sécurité Windows pour détecter les connexions de type 3 présentant des modèles d'authentification inhabituels. Recherchez les authentifications réussies sans changement de mot de passe correspondant ou les connexions réseau inattendues. Utilisez des solutions SIEM pour corréler les événements d'authentification et détecter les mouvements latéraux. Vous devez également utiliser des jetons honey et des techniques de tromperie pour attraper les attaquants qui utilisent des identifiants volés.

En savoir plus sur Renseignements sur les menaces

Comment prévenir les attaques par élévation de privilèges ?Renseignements sur les menaces

Comment prévenir les attaques par élévation de privilèges ?

L'escalade des privilèges et le contrôle d'autres comptes et réseaux constituent l'une des premières étapes des adversaires dans leur attaque contre votre organisation. Notre guide vous apprend à prévenir les attaques par élévation de privilèges.

En savoir plus
Comment prévenir les menaces persistantes avancées (APT) ?Renseignements sur les menaces

Comment prévenir les menaces persistantes avancées (APT) ?

Sécurisez votre organisation dès aujourd'hui en apprenant à prévenir le développement de menaces persistantes avancées. Détectez les infections et corrigez-les avant qu'elles ne s'aggravent.

En savoir plus
Comment prévenir les attaques par credential stuffing ?Renseignements sur les menaces

Comment prévenir les attaques par credential stuffing ?

Notre guide vous apprendra comment prévenir les attaques par credential stuffing. Il vous préparera également aux menaces futures et vous aidera à améliorer vos défenses sur plusieurs applications et services.

En savoir plus
Comment prévenir les attaques d'ingénierie sociale ?Renseignements sur les menaces

Comment prévenir les attaques d'ingénierie sociale ?

Ne tombez pas dans le piège des derniers scarewares, spams et escroqueries. Apprenez à prévenir les attaques d'ingénierie sociale, comprenez comment elles fonctionnent et prenez des mesures pour contrer et mettre en quarantaine les menaces.

En savoir plus
Prêt à révolutionner vos opérations de sécurité ?

Prêt à révolutionner vos opérations de sécurité ?

Découvrez comment SentinelOne AI SIEM peut transformer votre SOC en une centrale autonome. Contactez-nous dès aujourd'hui pour une démonstration personnalisée et découvrez l'avenir de la sécurité en action.

Demander une démonstration